发布日期:2015-02-27
更新日期:2015-03-24
受影响系统:
Google Android
描述:
BUGTRAQ ID: 73048
CVE(CAN) ID: CVE-2014-7914
Android是基于Linux开放性内核的操作系统,是Google公司在2007年11月5日公布的手机操作系统。
Google Android的Bluetooth应用程序栈存在安全漏洞,在没有提前配对的情况下允许发送Host Controller Interface命令。通过获取蓝牙地址,创建并模拟Bluetooth带外'handover' NFC NDEF标签,嗅探加密密钥并与设备交换,攻击者可以强制与蓝牙设备配对,然后在进程上下文中执行远程代码。
<*来源:Adam Laurie (adam@algroup.co.uk)
Aperture Labs
链接:
*>
建议:
厂商补丁:
Google
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://android.googlesource.com/platform/frameworks/av/+/e360f0f6cad290f69e07fd3a20dcf11a1dbc4160